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(57) Abstract 

The invention concerns a method for securely man- 
aging a units counter in an electrically programmable and 
erasable memory, whereby a number of units consumed by 
users is recorded by means of a counter, consisting in break- 
ing down the units counter into at least two memory zones 
(A, B), one first zone (A) wherein a bit is stored per unit 
consumed and a second zone (B) wherein the value corre- 
sponding to the accumulation of bits consumed is stored, the 
second zone being only updated when the number of units 
consumed exceeds or reaches the number of non-stored bits 
in the first zone. The invention is applicable to security mod- 
ules provided in telephone terminals. 
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L' invention concerne un proedde" de gestion securisee 
d'un compteur d* unites dans une mdmoire programmable 
et effacable electriquement, selon lequel on enregistre un 
nombre d'unites consommees par des utilisateurs au moyen 
du compteur, consistent a decomposer le compteur d 'unites 
en au moins deux zones m6moires (A, B), une premiere zone 
(A) dans laquelle on grille un bit par unite* consommee et 
une deuxieme zone (B) dans laquelle on memorise la valeur 

correspondant au cumul d 'unites consommees, la deuxifcme zone n*6tant mise a jour que lorsque le nombre d' unites consommees depasse 
ou atteint le nombre de bits non grill6 dans la premiere zone. Application aux modules de securite* places dans des terminaux telSphoniques. 



A...VERIFY1NG COUNTER STATUS 
B-.VERIFYING CI 
VERIFYING C2 

C. .READING ZONE A 

D. .. STORE L BITS IN A 

E. -STORE n BrrS IN A 

F. ..UPDATING B 

(CURRENT VALUE + VA + (n-L) 
ERASE ZONE A 




UNIQUEMENTA TITRE D f INFORMATION 

Codes utilises pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant des demandes 
intemationales en vertu du PCT. 



AL 


Albanie 


ES 


Espagne 


LS 


Lesotho 


SI 


Slovenie 


AM 


Armenie 


FI 


Finlande 


LT 


Lituanie 


SK 


Slovaquie 


AT 


Autriche 


FR 


France 


LU 


Luxembourg 


SN 


Senegal 


AU 


Austral ie 


GA 


Gabon 


LV 


Lettonie 


sz 


Swaziland 


AZ 


Azerbaijan 


GB 


Royaume-Uni 


MC 


Monaco 


TD 


Tchad 


BA 


Bosnie-Herzegovine 


GE 


Georgie 


MD 


Republique de Moldova 


TG 


Togo 


BB 


Barbadc 


GH 


Ghana 


MG 


Madagascar 


TJ 


Tadjikistan 


BE 


Belgiquc 


GN 


Guinee 


MK 


Ex-Republique yougoslave 


TM 


Turkmenistan 


BF 


Burkina Faso 


GR 


Grece 




de Macddoine 


TR 


Turquie 


BG 


Bulgarie 


HU 


Hongrie 


ML 


Mali 


TT 


Trinit6-et-Tobago 


BJ 


B6nin 


IE 


Irlande 


MN 


Mongol ie 


UA 


Ukraine 


BR 


Bresil 


IL 


Israel 


MR 


Mauritanie 


UG 


Ouganda 


BV 


Belarus 


IS 


Islande 


MW 


Malawi 


US 


Etats-Unis d'Amdrique 


CA 


Canada 


IT 


Italic 


MX 


Mexique 


UZ 


Ouzbekistan 


CF 


R6pub1ique centrafricaine 


JP 


Japon 


NE 


Niger 


VN 


Viet Nam 


CG 


Congo 


KE 


Kenya 


NL 


Pays-Bas 


YU 


Yougoslavie 


CH 


Suisse 


KG 


Kirghizistan 


NO 


Norvege 


zw 


Zimbabwe 


CI 


Cdte d'lvohe 


KP 


Republique populaire 


NZ 


Nouvelle-Zelande 






CM 


Cameroun 




democratique de Coree 


PL 


Pologne 






CN 


Chine 


KR 


Republique de Coree 


PT 


Portugal 






cu 


Cuba 


KZ 


Kazakstan 


RO 


Roumanic 






cz 


R£publique (cheque 


LC 


Sainte-Lucie 


RU 


Fecldration de Russie 






DE 


Allemagne 


LI 


Liechtenstein 


SD 


Soudan 






DK 


Danemark 


LK 


Sri Lanka 


SE 


Suede 






EE 


Estonie 


LR 


Liberia 


SG 


Singapour 







WO 99/49646 



PCT/FR99/00292 



PROCEDE DE GESTION SECURISEE DUN COMPTEUR D' UNITES ET MODULE DE SECURITE METTANT EN 
OEUVRE LE PROCEDE 

La present e invention a pour objet un precede de 
gestion securisee d'un compteur d' unites implante en 
memoire, notamment d'une carte a puce en relation avec 
un terminal. Elle pourrait neanmoins s'appliquer a tout 
5 autre type de memo ire, 

L' invention est particulierement utile quand il 
s'agit de compter un tres grand norabre d' unites tout en 
preservant la capacite de memorisation de la memoire. 

De part la technologie employee par les fabricants 
10 de memoire non volatiles eff arables et programmables 
electriquement (pa** exemple EEPROM) , la f aculte de 
memorisation de la memoire (aptitude a etre mise a 
jour) est limitee dans le temps. 

Les fabricants garantissent le bon comportement de 
15 la memoire pour un nombre limite de mises a jour de la 
memoire (une mise a jour comprend une operation 
d'effacement suivi d'une programmation ou ecriture) . Au 
dela, la memoire risque de ne plus etre effacee 
correctement ou etre programmee corr ectement . 
2 0 En raoyenne, le nombre de mises a jour gar ant i par 

les fabricants de memoire est de l'ordre de 100 000 par 
emplacement memoire. Dans le cas d'un compteur 
d' unites, le probleme consistant a preserver la f aculte 
de memorisation dudit compteur est d'autant plus 

2 5 difficile a resoudre que le nombre d ' unites a compter 

est grand et que la frequence de mise a jour du 
compteur est importante. 

L' invention sera particulierement decrite dans le 
cas d'une application a carte a puce dans le domaine de 

3 0 la publiphonie. 

II est connu dans le domaine de la carte a puce, 
qu'une transaction entre un terminal et un porte- 
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monnaie electronique externe est organisee autour d'un 
module de securite (MS) comprenant un microprocesseur . 
Le module est gen€ralement integre au terminal, 

Le role d'un module de securite est notamment de 
5 veiller a la verification de l'authentif ication des 
cartes porte-monnaie electroniques externes au 
terminal. Dans le cadre de la publiphonie, la carte a 
puce porte-monnaie est une telecarte (non 
rechargeable) , le terminal est un publiphone (ou cabine 
10 telephonique) et le module de securite peut etre lui- 
meme par exemple etre une carte a puce implantee dans 
le. terminal. 

On peut noter que le jeu de commandes du composant 
dudit module de securite s'appelle "systeme 
15 d' exploitation" . 

L' utilisation d'un module de securite permet de 
donner a 1'exploitant d'un publiphone les moyens 
d'authentifier les telecartes qui sont inserees par les 
clients porteurs desdites telecartes, Ainsi les cartes 
20 frauduleuses sont rejetees. 

En plus des fonctions d' authentif ication, le module 
propose a 1'exploitant d'un publiphone de gerer de 
maniere securisee un compteur d'unites qui enregistre 
toutes les unites consommees par les differents 
25 titulaires de cartes a pre-paiement ou de telecartes 
durant les communications . telephoniques passees a 
partir dudit publiphone. 

Cette fonctionnalite ouvre la voie a des solutions 
multi-operateurs ou l'emetteur des telecartes 
3 0 (operateur) ne serait pas 1'exploitant unique du 
publiphone. Pour cela, il est prevu de disposer au sein 
de la memoire du module de securite implante dans 
chaque publiphone, d'un compteur d'unites dedie a 
chaque operateur* 
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15 



Tou jours dans le cadre de la publiphonie, un tel 
compteur doit pouvoir memoriser plus de 16 millions 
d' unites ce qui correspond a un maximum d' unites 
telephoniques susceptibles d'etre enregistrees sur des 
5 lieux publics tres frequentes (aeroports) pour des 
mesures effectuees sur la duree de vie moyenne des 
compteurs d'un publiphone ( environs 3 ans) . 

La mise a jour dudit compteur peut en outre etre 
exigee a plusieurs reprises durant une communication 

10 telephonique * 

Pour memoriser autant d' unites a 1'aide des 
compteurs de l'art anterieur il faudrait utiliser une 
memo ire de 2 4 bits. Toutefois dans ce cas le nombre de 
mises a jour excederait la capacite de memorisation de 
cette memo ire . Cette solution n ' est done pas 
envisageable. 

Dans 1' invention, on a prevu de remedier a ce 
probleme en decomposant le compteur d' unites en au 
moins deux zones principales. 

La premiere zone memoire du compteur (zone A) est 
consideree comme un champ de bits. A chaque bit 
memorise ou "grille" ou "ecrit" ou "allume" correspond 
une unite de communication consommee. On parle 
egalement de "jeton" pour caracteriser un bit memorise 

25 de la zone A. 

Une seconde zone memoire (zone B) plus restreinte 
dont la taille permet de coder la valeur maximale du 
nombre &' unites a memoriser, 

Ces zones memoires sont des zones memoire d'une 
memoire non volatile programmable electriquement et 
effagable electriquement. 

S'agissant de la zone A et sans rentrer dans la 
technologie de programmation des memoires, un 
emplacement memoire sera considere indisponible lorsque 
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un bit y sera memorise. On parlera dans la suite de 
maniere indifferente de bit memorise ou de "bit allum§" 
ou de "bit grille" ou de bit ecrit pour signifier que 
les emplacements memoire sont indisponibles et de bit 
5 eteint ou non grilles pour signifier que les 
emplacements sont disponibles (libres) . 

Par convention, on consider era qu'un bit est allume 
lorsque son etat logique est egal a 1, et qu'un bit est 
eteint lorsque son etat logique est egal a 0, 
10 Un bit allume ne sera rendu disponible (eteint) 

qu'au prochain effacement de toute la zone A 
(extinction de tous les bits la composant) . 

L' invention a done plus particulierement pour objet 
un procede de gestion securisee d'un compteur d' unites 
15 dans une memoire programmable electriquement, selon 
lequel on enregistre un nombre d' unites consommees par 
des utilisateurs au moyen du compteur, principalement 
caracterise en ce qu'il consiste a decomposer le 
compteur d' unites en au moins deux zones memoires (A, 
20 B) , une premiere zone (A) dans laquelle on memorise au 
moins un bit par au moins une unite consommee et une 
deuxieme zone (B) dans laquelle on memorise la valeur 
correspondant au cumul d' unites consommees, la deuxieme 
zone n'etant mise a jour que lorsque le nombre d'unites 
25 consommees depasse ou atteint le nombre de bit non 
memorise de la premiere zone. 

Les unites consommees sont enregistrees dans la 
premiere zone de maniere cyclique. 

Un cycle correspond a une sequence d'allumage du 
3 0 premier bit de la premiere zone (A) vers le dernier. II 
prend fin lorsque tous les bits ont ete allumes. 

Une operation d' enregistrement de n unites 
consommees comprend les e tapes suivantes : 
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- lecture du contenu de la premiere zone et 
comparaison du nombre de bits non memorises au nombre 
d' unites consommees a enregistrer, 

- si ce nombre de bits non memorises est superieur 
5 ou egal au nombre d' unites a enregistrer, on memorise 

les bits a enregistrer dans ladite zone, 

- si ce nombre est inferieur, on memorise ce nombre 
de bits dans la premiere zone et on enregistre les 
unites restantes dans la deuxieme zone en effectuant 

10 une operation de mise a jour de cette zone et la 
premiere zone est effacee. 

Une operation de mise a jour de la deuxieme zone 
(B) comprend une etape d'ecriture dans cette zone d'une 
nouvelle valeur de compteur codee egale a la valeur 
15 courante a laguelle on ajoute le nombre de bits grilles 
de la premiere zone (A) et les unites restantes 
consommees a memoriser. 

La mise a jour de la deuxieme zone comprend une 
etape prealable d' enregistrement d'une information 
20 temoin signifiant qu'une mise a jour est en cours, puis 
lorsque la mise a jour est terminee, la mise a jour 
consiste a effacer la premiere zone (A) et a effacer 
1' information temoin. 

Pour ameliorer la securite le compteur d' unite 
25 comporte une zone de sauvegarde (SB) de la deuxieme 
zone (B) et ces deux zones comportent chacune un champs 
pour 1 ' enregistrement d'un code de redondance (CR, SCR) 
pour la verification de l'integrite du contenu de ces 
deux zones . 

30 Une operation d' enregistrement de n unites 

consommees comprend en outre une etape prealable de 
verification de l'etat du compteur comprenant les 
operations suivantes : 
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- verification de 1' absence de 1' information temoin 
d'une mise a jour en cours : 

- dans le cas ou 1' information temoin est bien 

absente : 

- verification de la validite des champs 
contenant les codes de redondances : 

. dans le cas ou les champs sont valides : 

- enregistrement des n unites; 
„ dans le cas ou les champs ne sont pas 

valides : 

- detection d'un defaut et arret du 
compteur, . 

- dans le cas ou 1 ' information temoin est 
presente : 

- activation de 1' operation de recouvrement 
pour retablir l'integrite des contenus du compteur. 

Une operation de mise a jour de la deuxieme zone 
comporte alors les etapes suivantes: 

- enregistrement de 1' information temoin, 

0 - recopie dans la zone de sauvegarde (SB) de la 

valeur du compteur codee de la deuxieme zone (B) , 

- enregistrement de la nouvelle valeur du compteur 
codee dans la deuxieme zone (B) , 

- ef f acement de la premiere zone (A) , 
5 - eff acement de 1 ' information temoin. 

I.' operation de recouvrement consiste a determiner a 
quelle etape s'est produite 1'anomalie (une coupure de 
courant) , puis a operer selon le cas determine, les 
etapes de mise a jour de la zone de sauvegarde (SB) 
(0 et/ou de la deuxieme zone (B) et/ou de la premiere 
zone. 

Avantageusement, la determination de 1' etape a 
laquelle s'est produite 1'anomalie consiste a lire le 
contenu de chacune des zones pour savoir si 1'anomalie 
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s'est produite pendant la mise a jour de la zone de 
sauvegarde (SB) cas 1, pendant la mise a jour de la 
deuxieme zone (B) cas 2, pendant 1'effacement de la 
premiere zone (A) cas 3, entre la mise a jour de la 
5 deuxieme zone (B) et la zone de sauvegarde (SB) cas 4, 
apres la mise a jour de ces deux zones cas 5* 

De facpon pratique, le recouvrement consiste dans le 
cas la: 

- recopier la valeur contenue dans la deuxieme zone 
10 (B) dans la zone de sauvegarde (SB) , 

- mettre a jour la deuxieme zone (B) en 
enregistrant la nouvelle valeur qui est egale a 
l'ancienne a laquelle on ajoute le contenu de la 
premiere zone (A) , 

15 - ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
dans le cas 2 a : 

- recopier dans la deuxieme zone (B) la valeur 
contenue dans la zone de sauvegarde (SB) en rajoutant 

20 la valeur contenue dans la premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
dans le cas 3 a : 

- ef facer le contenu de la premiere zone (A), 
25 - ef facer 1 ' information temoin (C2) ; 

dans . le cas 4 a : 

- mettre en oeuvre les etapes selon le cas 2 ; 
dans le cas 5 a : 

- mettre en oeuvre les etapes selon le cas 3 . 

30 Avantageusement le procede comprend en outre une 

etape d' enregistrement d'une information significative 
d'une defaillance en lecture ou en ecriture de la 
premiere zone (A) desactivant ladite zone lorsqu'il n'a 
pas ete possible de lire ou d'ecrire dans cette zone, 
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et une etape de lecture de cette information a chaque 
nouveau cycle, les unites consommees etant alors 
directement enregistrees de maniere codee par une 
operation de mise a jour de la deuxieme zone (B) . 
5 L' information temoin (C2) d'une raise a jour en 

cours et 1' information significative d'une defaillance 
(CI) en lecture et en ecriture de la premiere zone sont 
enregistrees dans une troisieme zone (C) dudit 
compteur . 

10 L' invention concerne egalement un module de 

securite mettant en oeuvre le precede conforme a 



1' invention. 

Un tel module pourra etre implante dans un terminal 
gerant des unites consommees par les utilisateur du 
terminal, il pourra s'agir notamment d'un terminal de 
telephonie . 



D'autres particularity et avantages de 1' invention 
apparaitront a la lecture de la description qui est 
faite ci-apres et qui est donnee a titre d'exemple non 
limitatif en regard des dessins annexes sur lesquels: 

- la figure 1, represente de facon schematique le 
compteur d' unites selon 1' invention ; 

- la figure 2A, represente les etapes d' enregistre- 
25 ment de n unites selon le precede de 1' invention ; 

- la figure 2B, represente 1' etape prealable de 
verification 10 de la figure 2A; 

- la figure 3, represente les etapes d' enregistre- 
ment des unites dans la deuxieme zone (mise a jour) 
selon un mode prefere de realisation ; 

- la figure A, represente les etapes du mecanisme 

de recouvrement ; 

- la figure 5, illustre une variante dans le 

procede conforme a 1' invention. 
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Le precede decrit dans la suite concerne un 
compteur protege contre la fraude (1' intrusion, la 
falsification) . Le precede prevoit que lorsque le 
compteur est sature, ce dernier s'arrete et en infonae 
5 1' application qui 1' utilise. 

Dans l'exemple d' application qui est donne ci- 
apres, et qui correspond au cas de la publiphonie cite 
dans le preambule, les unites consommees sont des 
unites telephoniques et les tailles des zones A et B 
10 sont bien evidemment definies ici a des fins d'exemple. 

II est pertinent de considerer une zone A de 168 
bits et une zone B de 24 bits (24 bits permettent en 
effet de memoriser 16 777 215 unites) . 

La zone B est a son tour dedoublee pour pallier a 
15 des problemes de coupure de courant durant la mise a 
jour du compteur (cf. figure 1). Ce cas est detaille 

dans la suite. 

comme cela a deja ete mentionne la duree 
d' exploitation du compteur est directement liee au 
20 nombre de mises a jour (effacement et ecriture) . II est 
done imperatif de trouver une structure de compteur et 
un precede de comptabilisation qui reduise le nombre de 
mises a jour. 

Dans le cadre de 1' invention, la memorisation des 
25 unites de communication consommees s'effectue comme 
suit. 

On suppose que la duree d'une communication 
telephonique est divisee en plages de temps. La duree 
d'une plage de temps correspond a un nombre d'unites 
30 consommees fixe. Dans cet exemple, le cycle 
d'enregistrement des unites consommees sont definis par 
ces plages de temps. 
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Au debut de chaque plage de temps, le nombre 
d' unites consoimees doit etre memorise dans le module 
de securite. 

Ainsi, dans le cas d'une communication necessitant 
5 13 unites au total et oCt une plage de temps elementaire 
comprend 3 unites, le compteur d' unites au sein du 
module de securite sera mis a jour cinq fois durant la 
communication et une cinquieme fois en fin de 
communication . 

10 Le procede de gestion du compteur d' unites se 

definit par les etapes 10, 20, 30, 40, 50, 60 
illustrees par la figure 2A. 

Une etape prealable a 1 ' enregistrement des unites 
consiste a verifier 1'etat du compteur (etape 10) 
15 detaillee a partir de la figure 2B. 

A chaque demande de memorisation d ' unites 
consommees, le systeme d' exploitation du module de 
securite gerant le compteur verifie que le nombre de 
bits eteints (disponibles) dans la zone A est superieur 
20 ou egal au nombre d'unites a memoriser (cf. figure 2A) • 
Dans 1' affirmative, si n unites ont ete consommees, 
n bits disponibles dans la zone A sont grilles, (on 
peut prevoir a titre de variante selon 1' application, 
que n bits disponibles dans la zone A soient grilles 

2 5 pour n paquets d' unites consommees) . 

Cette operation ne necessite aucun effacement et 
seule une action d'ecriture revient a griller certains 
bits de la zone A. 

Des que le nombre n d' unites consommees a memoriser 

3 0 excede le nombre de bits disponibles L restant dans la 

zone A, on eteint le nombre de bits disponibles L dans 
la zone A et les unites consommees restantes n-L sont 
comptabilisees dans la zone B. Une nouvelle valeur 
codee tenant compte de ces unites restantes est 
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enregistree dans la zone B par une operation de mise a 
jour comme suit : 

La nouvelle valeur de la zone B (nombre total 
d'unites) est egale a la valeur courante de la zone B a 
laquelle il faut a j outer le nombre de bits grilles dans 
la zone A (valeur VA) et le nombre n-L d'unites a 
memoriser . 

La mise a jour de la zone B entralne une lecture de 
celle-ci suivie d'un effacement et d'une ecriture. 

La zone A est quant a elle effacee entierement 
(tous les bits sont de nouveau disponibles) • 

On pourrait prevoir egalement selon 1' invention, 
dans le cas ou le nombre de bit disponibles dans la 
zone A est insuffisant, de completer cette zone A, puis 
de faire une mise a jour de la zone B en memorisant 
comme nouvelle valeur la valeur precedente a laquelle 
est ajoute le contenu de la zone A, puis d'effacer la 
zone A et enfin de memoriser dans la zone A les unites 
consommees restantes (au lieu de les memoriser dans la 
zone B) . Cette variante reste bien dans le cadre du 
principe de 1' invention. 

Avec ce precede, bien que la frequence de 
memorisation d'unites consommees soit importante, la 
frequence d' effacement des zones A et B est bien plus 
faible. II en est de meme pour la frequence d'ecriture 
des differentes emplacements memoire composant la zone 
A et par voie de consequence la zone B. 

La frequence d' effacement et d'ecriture des 
emplacements memoire composant le compteur d'unites est 
directement liee d'une part a la dimension de la zone A 
et d' autre part a la granular ite utilisee pour 
decomposer une communication (on entend par granular ite 
une periode elementaire de communication correspondant 
a un nombre d'unites predetermine par 1' operateur) . 
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On peut noter que pour connaitre a tout instant le 
nombre total d' unites consommees a l'aide du 
publiphone, il suffit d'ajouter a la valeur courante de 
la zone B, le nombre de bits grilles de la zone A. 
5 Dans le cadre de 1' invention, il est propose 

d'utiliser une f onctionnalite supplement a ire pour 
prolonger la duree de vie du compteur d' unites. 

En effet, il est connu qu'un champ de bits est 
subdivise en ensembles de huit bits consecutifs appeles 
10 octets, comme il est decrit plus haut, la zone A est 
effacee aussi frequemment que la zone B. Cependant, 
pour des facilites de programmation ou des contraintes 
liees au composant utilise, le fait de griller un bit 
au sein d'un octet peut entrainer un nouveau grillage 
15 des bits deja grilles au sein dudit octet. 

Ainsi, un octet appartenant a la zone A peut etre 
plus souvent ecrit (c'est a dire, ses bits grilles) 
qu'un octet composant la zone B. La zone A etant alors 
plus stressee que la zone B, la duree d' exploitation du 
20 compteur est done directement liee a la capacite de 
memorisation de la zone A. 

Pour pallier a ce probleme, on propose dans le 
cadre de 1' invention de prevoir au sein du compteur 
d'unites, une zone memoire supplementaire denommee zone 
25 C comprenant au moins un emplacement pour memoriser 
l'information CI (cf. figure 1 et figure 5). 

Cette variante du precede est illustree par la 
figure 5. 

Dans cette variante, l'etape de verification de 
30 l'etat du compteur, prealable a 1' enregistrement des 
unites consommees comporte une lecture de la zone C 
pour verifier si 1' information CI existe. 

Cette information CI est ecrite des qu'un 
emplacement memoire de la zone A ne peut plus etre 
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efface ou ecrit (car il est prevu de maniere classique 
de controler la bonne execution d'une ecriture ou d'un 
effacement de la memoire) . Dans ce cas le systeme 
d' exploitation du module de securite decide de 
5 desactiver la zone A (etape 42) et de ne travailler 
qu'avec la zone B (etape 80). A chaque demande de 
memorisation d' unites consommees la zone B est effacee 
et reecrite. 

Bien evidemment, la capacite de memorisation de la 
10 zone B va a son tour rapidement etre deterioree mais le 
compteur peut continuer a etre exploite quelque temps 
encore . 

D' autre part, pour r enforcer la securite de la 
gestion du compteur, il est possible d'ajouter un 
15 mecanisme permettant de garantir un etat coherent dudit 
compteur, si une coupure de courant intervient durant 
1' operation de memorisation. Il n'est pas pertinent 
d'envisager une operation d'arrachement du module de 
securite car generalement celui-ci est parfaitement 
20 integre au publiphone. Ceci dit, le cas d'arrachement 
se gererait de la meme maniere. 

Dans le cadre de 1' invention, pour implanter un tel 
mecanisme (appele ci-apres mecanisme de recouvrement) , 
la zone B est dotee d'un code de redondance. De plus la 
25 zone B est dupliquee (cf. figure 1, 2B, et 3). 

La zone SB ainsi definie est utilisee comme 
sauvegarde de la precedente. Elle est mise a jour avant 
toute modification de la zone B. 

La zone SB contient a tout moment la valeur de la 
30 zone B, precedant la derniere mise a jour de la dite 
zone. 

Un octet supplementaire au sein de la zone C est 
utilise pour indiquer si 1' operation de memorisation a 
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ete partiellement ou entierement effectuee, il s'agit 
de 1' information temoin C2 . 

Ainsi, en debut de traitement d'une demande de 
memorisation d' unites, C2 est memorisee. Elle est 
5 effacee une fois que cette meme operation de 
memorisation est entierement realisee. Pour eviter de 
trop stresser 1' octet C2 , celui-ci n'est utilise (ecrit 
puis efface ) que dans le cas ou le nombre d' unites a 
memoriser est superieur au nombre de bits encore 
10 disponibles dans la zone A. 

Dans le cas contraire, 1' octet C2 est inutilise. 
Parmi les bits disponibles de la zone A , n bits sont 
allumes. L' operation de memorisation est terminee. On 
considere que la perte d ' information est minime. 
15 Dans le cas ou le nombre de bits disponibles au 

sein de la zone A est insuffisant, il est imperatif 
d'activer la procedure permettant ulterieurement 
d'actionner le mecanisme de recouvrement au cas ou il y 
a anomalie. 

20 En effet, si une coupure de courant survient apres 

que la zone B ait ete effacee et non a nouveau 
reecrite, toute 1 ' information du compteur d' unites 
serait perdue • 

On va maintenant detainer l'etape prealable a tout 
25 enregistrement de verification du compteur (figure 2B) . 

Le systeme verifie 1' absence du temoin C2 (11). 
Si le temoin C2 est absent (12), le systeme verifie 
les champs contenant les codes de redondance. 

Si ces champs sont valides (13) on enregistre les n 
3 0 unites consommees . 

Si les champs ne sont pas valides (14) r il y a 
detection d'un defaut, arret du compteur (et 
eventuellement une alarme) . 
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Dans le cas ou le temoin existe (15) il y a mise en 
oeuvre du mecanisme de recouvrement detaille a partir 
de la figure. 

On va maintenant detainer 1' operation de mise a 
jour de la zone B selon cette variante (cf figure 3). 

Conine on peut le voir sur la figure 3 (etapes 51 a 
55), le temoin C2 est tout d'abord ecrit, la valeur 
courante par exemple VO du compteur codee dans la zone 
B est recopiee dans la zone SB. Puis la zone B est mise 
a jour (nouvelle valeur VI egale a la valeur courante a 
laquelle on ajoute le nombre de bits grilles dans la 
zone A et les n-L unites restantes a memoriser) . La 
zone A est ensuite effacee et le temoin C2 est alors 
efface pour indiquer que 1' operation de memorisation a 
ete effectuee entierement avec succes. 

Dans la description realisee, tout se passe 
normalement, il n'y a pas eu coupure d' alimentation 
durant 1' operation de memorisation. 

A present, si une coupure est intervenue, 
1' activation du mecanisme de recouvrement est decrite 
ci-apres (cf. figure 4 ). 

Celui-ci est active lors de la prochaine demande de 
memorisation que le nombre de bits disponible au sein 
de la zone A soit suff isant ou non pour memoriser les n 
unites . 

Si le temoin C2 est allume alors avant de memoriser 
les unites consommees, le mecanisme de recouvrement est 
actionne par le systeme d' exploitation du module de 
securite. 

Plusieurs cas se presentent. En effet la coupure a 
pu intervenir durant la mise a jour de la zone SB 
(cas 1), durant la mise a jour de la zone B (cas 2), 
durant l'effacement de la zone A (cas 3) ou entre 
ledites mises a jour (cas 4 et cas 5) . 
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La procedure de recouvrement doit etre distincte en 
fonction des differents cas listes precedemment. 

Dans le cas ou la zone SB n'a pu etre correctement 
mise a jour (cas 1) , le code de redondance SCR de 
celle-ci n'est pas conforme. La valeur contenue VO dans 
la zone B est alors recopiee dans la zone SB, la zone B 
est ensuite mise a jour (nouvelle valeur VI egale a la 
valeur courante VO de la zone B a laquelle il faut 
ajouter le nombre de bits grilles dans la zone A valeur 
VA) . Seul le nombre d' unites n-L qui devaient etre 
memorise lors de la memorisation interrompue est perdu. 

La zone A est alors effacee et le temoin C2 
egalement. 

Dans le cas ou la zone SB a ete correctement mise a 
jour mais la zone B ne I'a pas etfe correctement (cas 
2), le code de redondance SCR de la zone SB est 
correct. Par contre, celui CR de la zone B est 
incorrect . 

La zone B est alors mise a jour comme suit : 

La nouvelle valeur VI de la zone B est egale a la 
valeur VO de la zone SB a laquelle on ajoute le nombre 
de bits grilles dans la zone A c'est a dire une valeur 
VA, VI = VO + VA. 

Dans ce cas comme dans le precedent, la seule 
information perdue correspond au nombre n-L unites 
restantes qui devait etre memorise durant la 
memorisation interrompue. La zone A est alors effacee 
et le temoin C2 egalement. 

En examinant seulement les codes de redondance de 
la zone SB et de la zone B, il est impossible de savoir 
si la coupure de courant a eu lieu entre la mise a jour 
des zones SB et B (cas 4) ou apres la mise a jour de 
ces deux zones (cas 5) . En effet dans ces deux cas les 
codes de redondance sont tous les deux corrects. 
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Pour distinguer les cas 4 et 5, le systeme 
d' exploitation du module de securite compare les 
valeurs des zones SB et B : V(SB) = V(B) ? : 

Si la zone SB contient la meme valeur que la zone B 
alors la coupure d' alimentation a du avoir lieu entre 
la mise a jour des zones SB et B (cas 4) . Le traitement 
du mecanisme de recouvrement est alors identique a 
celui detaille precedemment (cas 2) . 

Dans le cas contraire, la zone B a done du etre 
correctement mise a jour (cas 5) . II faut alors ef facer 
la zone A et le temoin C2 . Aucune information n'a ete 

perdue dans ce cas . 

II reste a traiter le cas ou la coupure de courant 
a eu lieu durant l'effacement de la zone A (cas 3). Ce 
cas est similaire au cas precedent (cas 5) . 

Une fois que le mecanisme de recouvrement a ete 
execute, les n unites a memoriser le sont conformement 
a la description de 1' invention realisee precedemment. 
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RE VEND I CAT X ONS 

1. Procede de gestion securisee d'un compteur 
d' unites dans une memoire programmable et effa?able 
electriquement, selon lequel on enregistre un nombre 
d' unites consommees par des utilisateurs au moyen du 
5 compteur, caracterise en ce qu'il consiste a decomposer 
le compteur d' unites en au moins deux zones memoires 
(A, B) , une premiere zone (A) dans laquelle on memorise 
au moins un bit par au moins une unite consommee et une 
deuxieme zone (B) dans laquelle on memorise la valeur 
10 correspondant au cumul d'unites consommees, la deuxieme 
zone n'etant raise a jour que lorsque le nombre d'unites 
consommees depasse ou atteint le nombre de bits non 
memorise dans la premiere zone. 

15 2- Procede de gestion d'un compteur selon la 

revendication 1, caracterise en ce que les unites 

consommees sont enregistrees dans la premiere zone de 
maniere cyclique. 

20 3. Procede de gestion selon les revendications 1 et 

2, caracterise en ce qu'une operation d' enregistrement 
de n unites consommees comprend les etapes suivantes : 

- lecture du contenu de la premiere zone (A) et 
comparaison du nombre de bits (L) non memorises de la 

25 zone (A) au nombre d'unites (n) consommees a 
enregistrer , 

- si ce nombre de bits non memorises (L) est 
super ieur ou egal au nombre d'unites (n) a enregistrer, 
on memorise les (n) bits correspondant dans ladite 

30 zone (A) , 



18 



WO 99/49646 



PCT/FR99/00292 



- si ce nombre (L) est inferieur, on memorise (Ij) 
bits dans la premiere zone (A) et on enregistre les (n- 
L) unites restantes dans la deuxieme zone (B) en 
effectuant une operation de mise a jour de cette zone 
5 et la premiere zone (A) est effacee. 

4. Procede de gestion selon l'une quelconque des 
revendications 1 a 4 caracterise en ce qu'une operation 
de mise a jour de la deuxieme zone (B) comprend une 
10 etape d'ecriture dans cette zone d'une nouvelle valeur 
de compteur codee egale a la valeur courante a laquelle 
on. ajoute le nombre de bits memorises de la premiere 
zone (A) et les (n-L) unites restantes consommees a 
memoriser . 



15 



20 



5. Procede de gestion selon la revendication 4 
caracterise en ce que la mise a jour comprend une etape 
prealable d' enregistrement d'une information temoin 
(C2) signifiant qu'une mise a jour est en cours. 



6. Procede de gestion selon l'une quelconque des 
revendications precedentes caracterise en ce que le 
compteur d' unite comport e une zone de sauvegarde (SB) 
de la deuxieme zone (B) et en ce que ces deux zones 

25 comportent chacune un champs pour 1' enregistrement d'un 
code de redondance (CR, SCR) pour la verification de 
l'integrite du contenu de ces deux zones. 

7. Procede de gestion selon les revendications 4 et 
30 5, caracterise en ce qu'une operation d' enregistrement 

de n unites consommees comprend en outre une etape 
prealable de verification de l'etat du compteur 
comprenant les operations suivantes : 
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- verification de 1' absence de 1 ' information temoin 
d'une mise a jour en cours : 

- dans le cas ou 1' information temoin est bien 
absente : 

- verification de la validite des champs 
contenant les codes de redondances : 

. dans le cas ou les champs sont valides : 

- enregistrement des n unites; 

. dans le cas oH les champs ne sont pas 
valides : 

- detection d'un defaut et arret du 
compteur • 

- dans le cas ou 1' information temoin est 
presente : 

- activation de 1' operation de recouvrement 
pour retablir 1'integrite des contenus du compteur. 

8* Procede de gestion selon les revendications 6 et 
7, caracterise en ce qu'une operation de mise a jour de 
la deuxieme zone (B) comporte alors les etapes 
suivantes : 

- enregistrement de 1' information temoin (C2) , 

- recopie dans la zone de sauvegarde (SB) de la 
valeur (VO) du compteur codee de la deuxieme zone (B) , 

- enregistrement de la nouvelle valeur du compteur 
codee dans la deuxieme zone (B) , 

- effacement de 1 ' information temoin (C2) , 

9, Procede de gestion selon la revendication 8, 
caracterise en ce que 1' operation de recouvrement 
consiste a determiner a quelle etape s'est produite 
l'anomalie, puis a operer selon le cas determine, les 
etapes de mise a jour de la zone de sauvegarde (SB) 
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et/ou de la deuxieme zone (B) et/ou de la premiere zone 
(A) . 

10. Procede de gestion selon la revendication 9, 
5 caracterise en ce que la determination de l'etape a 
laguelle s'est produite l'anomalie consiste a lire le 
contenu de chacune des zones pour savoir si l'anomalie 
s'est produite pendant la mise a jour de la zone de 
sauvegarde (SB) cas 1, pendant la mise a jour de la 
10 deuxieme zone (B) cas 2, pendant 1 ' ef f aceraent de la 
premiere zone (A) cas 3, entre la mise a jour de la 
deuxieme zone (B) et la zone de sauvegarde (SB) cas 4, 
apres la mise a jour de ces deux zones cas 5, 
. dans le cas 1 a : 
15 - recopier la valeur contenue dans la deuxieme zone 

(B) dans la zone de sauvegarde (SB), 

- mettre a jour la deuxieme zone (B) en 
enregistrant la nouvelle valeur qui est egale a 
l'ancienne a laquelle on ajoute le contenu de la 

20 premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 2 a : 

- recopier dans la deuxieme zone (B) la valeur 
25 contenue dans la zone de sauvegarde (SB) en rajoutant 

la valeur contenue dans la premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 3a: 

30 - eff acer le contenu de la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 4 a : 

- mettre en oeuvre les etapes selon le cas 2 ; 
. dans le cas 5 a : 
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- mettre en oeuvre les etapes selon le cas 3 . 

11. Procede de gestion selon l'une quelconque des 
revendications precedentes, caracterise en ce qu'il 
5 comprend l'etape d'enregistrement d'une information 
significative (Cl) d'une defaillance en lecture ou en 
ecriture de la premiere zone (A) desactivant ladite 
zone lorsqu'il n'a pas ete possible de lire ou d'ecrire 
dans cette zone, une etape de lecture de cette 
10 information a chaque nouveau cycle, les unites 
consommees etant alors directement enregistrees de 
maniere codee par une operation de mise a jour de la 
deuxieme zone (B) - 

15 12 ♦ Procede de gestion selon la revendication 5 et 

la revendication 11 , caracterise en ce que 
1' information temoin (C2) d'une mise a jour en cours et 
1' information significative d'une defaillance (Cl) en 
lecture et en ecriture de la premiere zone sont 

2 0 enregistrees dans une troisieme zone (C) dudit 

compteur * 

13. Module de securite (MS) mettant en oeuvre le 
procede selon l'une quelconques des revendications 

25 precedentes . 

14 . Module de securite selon la revendication 13 , 
caracterise en ce qu'il est implante dans un terminal 
gerant des unites consommees, notamment un terminal de 

3 0 telephonie. 
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